Rechercher
S'inscrire
  • Accueil
  • Conformité
    • Privacy by designSensibilisationcookiesconsentementcompatible RGPDProcédures. RGPD
  • Métiers
    • télétravailSPSTOffre socleCertification SPSTiCSEexpert comptable
  • Cybersécurité
    • SécuritéSauvegardesCyberattaquephishing ou hameçonnageSIIV
  • Nos ouvrages
  • DPO Externalisé
  • Logiciel RGPD
  • 🇬🇧

Sous-traitants : la réutilisation de données personnelles confiées par un responsable de traitement

Conformité RGPDDonnées personnelles

Sous-traitants : la réutilisation de données personnelles confiées par un responsable de traitement

Article rédigé par DPO Partagé

Le

Un sous-traitant ne peut faire une réutilisation de données personnelles qu’il a collectées pour son propre compte que si cette utilisation est conforme à la finalité initiale du traitement et qu’il a obtenu l’autorisation écrite du responsable du traitement.

De plus, le sous-traitant ne peut divulguer ou communiquer ces données à des tiers sans l’autorisation écrite du responsable du traitement. Le sous-traitant doit également respecter les obligations de confidentialité et de sécurité des données imposées par le RGPD et par toutes les autres dispositions légales et réglementaires applicables en matière de protection des données personnelles.

Le règlement général sur la protection des données (RGPD) définit un sous-traitant comme une personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. Le sous-traitant ne peut utiliser les données pour son propre compte que si cela est compatible avec le traitement initial et que le responsable de traitement lui en a donné l’autorisation écrite. Cette autorisation peut être donnée dans le cadre d’un contrat entre le responsable de traitement et le sous-traitant, qui doit spécifier les conditions et les modalités de la réutilisation des données personnelles.

Consulter le page de la CNIL

Sous-traitants : une autorisation du client est nécessaire pour la réutilisation de données personnelles

Un sous-traitant ne peut réutiliser des données personnelles qu’avec l’autorisation écrite du responsable du traitement initial, et si cette réutilisation est compatible avec les instructions données pour le traitement initial. Si ces conditions sont respectées, le sous-traitant devient responsable de ce nouveau traitement.

Si le sous-traitant anonymise mes données, peut-il les utiliser ?

Logiciel RGPD

Un sous-traitant peut utiliser des données personnelles que vous lui confiez si ces données sont anonymisées. En effet, les données anonymisées ne sont pas considérées comme des données personnelles selon le RGPD. Cependant, il est important de vérifier que les données ont bien été anonymisées de manière efficace et qu’il est impossible de les ré-identifier. Si cela n’est pas le cas, il faudra obtenir l’autorisation du responsable du traitement pour que le sous-traitant puisse utiliser les données personnelles.

Responsables de traitement : les conditions pour donner une autorisation

Le responsable du traitement doit donc procéder à un « test de compatibilité » avant d’accorder son autorisation à un sous-traitant pour réutiliser les données personnelles qu’il lui a confiées. Cette démarche permet de s’assurer que la réutilisation des données est compatible avec la finalité pour laquelle elles ont été initialement collectées, et de limiter les risques pour les personnes concernées.

Le responsable du traitement doit également vérifier que les garanties appropriées sont mises en place pour protéger les données personnelles, par exemple en les chiffrant ou en les pseudonymisant.

Si le responsable du traitement estime que la réutilisation des données par le sous-traitant est compatible avec la finalité initiale et qu’il a pris les mesures adéquates pour protéger les données, il peut alors accorder son autorisation écrite au sous-traitant pour réutiliser les données pour son propre compte. Le sous-traitant devient alors responsable du traitement ultérieur des données et doit respecter les obligations prévues par le RGPD.

Le partage des obligations du RGPD

Le responsable du traitement initial doit veiller à ce que le sous-traitant respecte les obligations prévues par le règlement général sur la protection des données (RGPD).

Pour ce faire, il doit notamment :

  • Vérifier que le sous-traitant dispose des moyens techniques et organisationnels adaptés pour protéger les données contre toute atteinte illicite ;
  • Signer avec le sous-traitant un contrat ou un autre acte juridique établissant des obligations pour le sous-traitant, en particulier en matière de protection des données ;
  • S’assurer que le sous-traitant respecte les obligations du RGPD, notamment en matière de confidentialité, de sécurité et de respect des droits des personnes concernées ;
  • Imposer des sanctions au sous-traitant en cas de non-respect de ces obligations.

Le responsable de traitement initial reste responsable de la conformité des traitements mis en œuvre par le sous-traitant. En cas de contrôle, il devra pouvoir justifier la mise en place de ces mesures et la réalisation effective du traitement ultérieur.

Article précédent
Le droit à l’effacement : supprimer vos données en ligne
Article suivant
Mon espace santé RGPD : vous choisissez quels professionnels de santé peuvent accéder à vos données
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

DPO Partagé DPO Partagé -
Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

DPO Partagé DPO Partagé -
Logiciels conformité RGPD : La mise en conformité avec...

L’essentiel du rapport annuel RGPD: Une pierre angulaire de la conformité RGPD, un outil pour les DPO

DPO Partagé DPO Partagé -
Le rapport annuel RGPD constitue un élément crucial...

Sanction record pour hubside.store en matière de prospection commerciale

DPO Partagé DPO Partagé -
Le 4 avril 2024, la Commission Nationale de l'Informatique...

A propos de DPO PARTAGE

DPO Partage propose des DPO externalisés et est le premier média français spécialisé dans le RGPD, offrant expertise en conformité aux réglementations et informations sur la sécurité informatique.
Tel. : 01 83 64 42 98

Nos sites

Nos ouvrages

© 2023 DPO PARTAGE. All Rights Reserved.